 [MySQL][PHP] PDO - quote vs bindValue oraz filtracja danych |
  |
| [MySQL][PHP] PDO - quote vs bindValue oraz filtracja danych |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 117 Pomógł: 0 Dołączył: 13.05.2007 Ostrzeżenie: (0%) 
 |
Witam!
1. Czy bindValue służy do filtrowania danych tak jak quote ? 2. Czy używając samego bindValue można zrezygnować z quote ? 3. Czy zmienne pochodzące z formularzy (POST/GET), lub z adresu URL trzeba filtrować (addslashes, htmlspecialchars itp.), czy można z nich zrezygnować jeśli używamy PDO i czy operacje na bazie danych będą bezpieczne? |
 |
 
|
|
Post
#2
|
|
 Grupa: Zarejestrowani Postów: 2 355 Pomógł: 533 Dołączył: 15.01.2010 Skąd: Bydgoszcz Ostrzeżenie: (0%)
|
1. W skrócie, tak.
2. Nawet trzeba, po co robić 2 razy to samo. 3. Trzeba je bindować, nie ma sensu używać jakichś dziwnych funkcji, które były potrzebne przy mysql_*. htmlspecialchars, nie ma nic wspólnego z SQLi, to raczej do XSS i PDO nie ma z tym nic wspólnego. |
|
|
|
|
Post
#3
|
|
 Grupa: Moderatorzy Postów: 36 557 Pomógł: 6315 Dołączył: 27.12.2004 |
ad1) bindValue czy tez quote nie filtruje danych. On je przygotowuje do wstawienia do zapytania, a to raczej nie to samo co filtracja.
ad2) To nie jest dokladnie robienie dwa razy tego samego. Jak dwa razy narysujesz kreske na sobie to masz nadal jedna kreske. Jak dwa razy przepuscisz dane przez quote oraz bindValue to np. apostrof juz nie trafi do bazy jako apostrof tylko jako \apostrof  I wlasnie dlatego robiac bindValue nie nalezy juz robic quote gdyz mozna otrzymac niepoprawne/inne dane
-------------------- "Myśl, myśl, myśl..." - Kubuś Puchatek || "Manual, manual, manual..." - Kubuś Programista "Szukaj, szukaj, szukaj..." - Kubuś Odkrywca || "Debuguj, debuguj, debuguj..." - Kubuś Developer |
|
|
|
|
|
Aktualny czas: 21.08.2025 - 13:00 |
